X-Remote merupakan sebuah program PC Remote Buatan Indonesia yang paling saya sukai selain tampilannya yang menarik, kata JK Gunakanlah product buatan Negara sendiri “Hehehe”. X-Remote memiliki 2 buah program yang nanti kita akan jalankan yaitu XRemote.exe (PENYURUH) dan IEXPLORER.exe (TROJAN) kok mirip ya dengan IEXPLORER (Internet Explorer) yang dimiliki oleh windows?? ya memang mirip jika diperhatikan secara kasat mata, namun jika diteliti keduanya memiliki perbedaan yang sangat mencolok bagaikan kertas hitam dan putih, IEXPLORER.exe ini adalah sebuah Trojan yang memang sengaja diberi nama yang mirip dengan IEXPLORER (Aplikasi Browsing) milik windows supaya tidak mudah diketahui. Setelah bermain2 dengan Trojan yang satu ini saya menemukan beberapa hal tentang program ini :
1. Trojan Ini menggunakan port 1001 “WebEx”
Saya menggunakan perintah netsat –an dalam percobaan untuk mengetahui port berapa yang dibuka setelah saya menjalankan Trojan (IEXPLORER.exe)
C:\Documents and Settings\SlackXdi>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1001 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1002 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1031 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1066 127.0.0.1:1067 ESTABLISH
TCP 127.0.0.1:1067 127.0.0.1:1066 ESTABLISH
TCP 127.0.0.1:1068 127.0.0.1:1069 ESTABLISH
…
Namun jika anda belum yakin juga, anda bisa menggunakan SuperScan untuk melakukan scaning port yang biasa digunakan oleh Trojan.
2. Trojan Ini tidak dikenali oleh AntiVirus
Saya sudah mecobanya di beberapa antivitus dan tidak ada satupun yang mengenali Trojan ini.
3. Trojan IEXPLORER akan Berubah nama Menjadi lsass
Trojan yang tadinya namanya IEXPLORER.exe ketika dijalankan akan berubah nama menjadi lsass.exe yang juga mirip seperti nama salah satu system yang dimiliki windows karena ketika dijalankan Trojan ini akan membuat satu buah file yang sama (IEXPLORER.exe) dengan nama lsass.exe ke C:/WINDOWS/System.
Ketika saya mengetikkan perintah netstat –b untuk melihat program apa yang digunakan pada port yang terbuka tersebut, cmd memunculkan hasil seperti dibawah ini dan itu berarti Trojan yang menggunakan port 1001 adalah lsass.exe dan setelah saya tinggal mencari tahu di mana file tersebut berada dengan melihat Properties (klik kanan) Program tersebut menggunakan Process Explorer.
C:\Documents and Settings\SlackXdi>netstat -bActive Connections
Proto Local Address Foreign Address State PID
TCP xxdiazz:1001 localhost:1336 ESTABLISHED 3456
[lsass.exe]
TCP xxdiazz:1002 localhost:1337 ESTABLISHED 3456
[lsass.exe]
TCP xxdiazz:1066 localhost:1067 ESTABLISHED 900
[firefox.exe]
TCP xxdiazz:1067 localhost:1066 ESTABLISHED 900
[firefox.exe]
TCP xxdiazz:1068 localhost:1069 ESTABLISHED 900
[firefox.exe]
TCP xxdiazz:1069 localhost:1068 ESTABLISHED 900
[firefox.exe]
TCP xxdiazz:1336 localhost:1001 ESTABLISHED 2108
[Xremote.exe]
TCP xxdiazz:1337 localhost:1002 ESTABLISHED 2108
[Xremote.exe]
Untuk mengatasi Trojan ini gampang aja pertama-tama anda harus matikan dulu programnya yang sedang berjalan menggunakan Process Explorer setelah itu hapus filenya di C:/WINDOWS/System, Atau anda bisa langsung menghapusnya menggunakan Unlocker.
Tidak ada komentar :
Posting Komentar